看似無害的微軟 OneNote 文件現已成爲了黑客們用來傳播惡意軟件、闖入公司網絡的一種流行文件格式。本文介紹了如何阻止惡意的 OneNote 網絡釣魚附件感染 Windows。
爲了了解微軟 OneNote 文件如何成爲分發惡意軟件的網絡釣魚攻擊的首選工具,我們先要解釋背景知識。
年來,威脅分子一直在濫用微軟 Word 文檔和 Excel 文檔中的宏,在 Windows 設備上下載并安裝惡意軟件。
在微軟終于默認禁用了 Word 和 Excel Office 文檔中的宏之後,威脅分子開始轉而将目光投向其他不太常用的文件格式來分發惡意軟件,比如 ISO 文件和受密碼保護的 ZIP 壓縮文件。
這些都是流行的文件格式,Windows 的一個漏洞允許 ISO 映像中的文件繞過 Web 标記(MoTW)安全警告,而流行的 7-Zip 壓縮實用工具并不将 MoTW 标志傳播到從 ZIP 壓縮包中提取的文件。
然而,在 7-Zip 和 Windows 都修複了這些錯誤之後,當用戶試圖打開已下載的 ISO 文件和 ZIP 壓縮包中的文件時,Windows 再次開始顯示可怕的安全警告,促使威脅分子尋找用于攻擊的另一種文件格式。
圖 1. Windows Web 标記安全警告(圖片來源:BleepingComputer)
自去年 12 月中旬以來,威脅分子已将目光投向了另一種文件格式來分發惡意軟件:微軟 OneNote 附件。
爲什麽偏偏是微軟 OneNote?
微軟 OneNote 附件使用 ".one" 文件擴展名,威脅分子選擇它令人玩味,因爲他們并不通過宏或漏洞來分發惡意軟件。
相反,威脅分子創建複雜的模闆,這些模闆看起來像是受保護的文檔,帶有 " 雙擊 " 設計元素以查看文件的消息,如下所示。
圖 2. 惡意的微軟 OneNote 附件(圖片來源:BleepingComputer)
不過從上面附件中看不到的一點是," 雙擊以查看文件 " 實際上隐藏了一系列位于按鈕層下面的嵌入式文件,如下圖所示。
圖 3. 隐藏的 OneNote 附件(圖片來源:BleepingComputer)
雙擊按鈕時,實際上你是在雙擊嵌入的文件,導緻該文件啓動。
雖然雙擊嵌入式文件會顯示安全警告,但正如我們從以前濫用微軟 Office 宏的網絡釣魚攻擊中所知,用戶通常會忽略警告,無論如何會允許文件運行。
不幸的是,隻要有一個用戶不小心允許惡意文件運行,整個公司網絡就會在一次全面的勒索軟件攻擊中被攻陷。
這并不是理論上的攻擊,因爲安全研究人員在一些微軟 OneNote QakBot 活動中已發現,它們最終導緻了中招的網絡遭到勒索軟件攻擊,比如 BlackBasta。
如何阻止惡意的微軟 OneNote 文件?
要防止惡意的微軟 OneNote 附件感染 Windows,最佳方法就是在安全郵件網關或郵件服務器層面阻止 ".one" 文件擴展名。
然而,如果你的環境不允許這麽做,你還可以使用微軟 Office 組策略來限制在微軟 OneNote 文件中啓動嵌入式文件附件的操作。
首先,安裝微軟 365/ 微軟 Office 組策略模闆(https://www.microsoft.com/en-us/download/details.aspx?id=49030),以開始使用微軟 OneNote 策略。
組策略安裝完畢後,你會發現名爲 " 禁用嵌入式文件 " 和 " 嵌入式文件阻止擴展名 " 的新微軟 OneNote 策略,如下所示。
圖 4. 微軟 OneNote 組策略(圖片來源:BleepingComputer)
" 禁用嵌入式文件 " 組策略最嚴格,因爲它阻止所有嵌入的 OneNote 文件被啓動。如果你沒有使用嵌入式 OneNote 附件的正當理由,應該啓用該選項。
組策略描述顯示:" 禁用在 OneNote 頁面上嵌入文件的功能,以便人們無法傳輸可能不會被殺毒軟件捕獲的文件 "。
圖 5. 禁用嵌入式文件組策略(圖片來源:BleepingComputer)
啓用後,将創建以下 Windows 注冊表項。注意,路徑可能因微軟 Office 版本而異。
Windows 注冊表編輯器版本 5.00
[ HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftoffice16.0onenoteoptions ]
"disableembeddedfiles"=dword:00000001
現在,當用戶試圖打開微軟 OneNote 文檔中嵌入的任何附件時,他們會收到以下錯誤。
圖 6. 所有文件附件在微軟 OneNote 中被阻止(圖片來源:BleepingComputer)
一個限制較寬松,但可能更不安全的選項是 " 嵌入式文件阻止擴展名 " 組策略,該策略允許你輸入将被阻止在微軟 OneNote 文檔中打開的嵌入式文件擴展名列表。
策略描述顯示:" 爲了阻止貴組織中的用戶從微軟 OneNote 頁面打開特定文件類型的文件附件,請使用該格式:‘ .ext1;.ext2; ’添加想要禁止的擴展名。"
" 如果你想要禁用從 OneNote 頁面打開任何附件,請參閱禁用嵌入式文件策略。你不能使用該策略阻止嵌入式音頻和視頻錄制内容(WMA 和 WMV),而是應參閱禁用嵌入式文件策略。"
圖 7. " 嵌入式文件阻止擴展名 " 組策略(圖片來源:BleepingComputer)
啓用後,以下 Windows 注冊表項将與你輸入的阻止擴展名列表一起創建。
[ HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftoffice16.0onenoteoptionsembeddedfileopenoptions ]
"blockedextensions"=".js;.exe;.bat;.vbs;.com;.scr;.cmd;.ps1"
現在當用戶試圖在微軟 OneNote 文檔中打開被阻止的文件擴展名時,他們将收到以下錯誤。
圖 8. 在微軟 OneNote 中被阻止的文件附件類型(圖片來源:BleepingComputer)
建議阻止的一些文件擴展名有 .js、.exe、.com、.cmd、.scr、.ps1、.vbs 和 .lnk。然而,當威脅分子發現新的文件擴展名可以濫用時,其他惡意文件類型可能會繞過此列表。
雖然由于環境的要求,阻止任何文件類型并不總是一種完美的解決方案,但不采取任何措施來限制濫用微軟 OneNote 文件的情況可能會導緻更糟糕的結果。
因此,強烈建議在你的環境中阻止 OneNote 附件或者至少阻止濫用嵌入式文件類型,以防遭到網絡攻擊。
